【資通安全風險管理架構】
本公司設置資安專責主管及資安專責人員,負責推動、協調監督及審查資通安全管理事項。
資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊處負責辦理。
資通系統及資料之安全需求研議、使用管理及保護等事項,由業務權責單位負責辦理。
資通機密維護及稽核使用管理事項,由內部稽核室會同相關單位負責辦理。
每月資訊處於主管會議向執行長報告資訊作業與執行結果。
每年稽核室會進行內部稽核,若發現缺失,會要求受查單位改善措施並追蹤改善結果。
每年會計師會進行資訊作業查核,若發現缺失,會要求改善措施並追蹤改善結果。
|
【資通安全政策】
本公司為增進資通作業安全及穩定之運作,提供可信賴之資通服務,確保資訊資產之機密性、完整性及可用性,以符合相關法令、法規,主管機關要求及客戶契約規範,使其免於遭受內、外部的蓄意或意外之威脅,並順利推展公司各項業務,特制定本公司資通安全政策做為本公司資通安全管理最高指導方針。主要有以下幾個策略
1.建立資通作業安全相關程序,確保資訊資產之機密性、完整性及可用性及公司業務之持續運作。並符合相關法律規章及營運要求。
2.建立本公司資通安全組織並訂定分工權責,俾利推行資通安全作業。
3.建立資通安全事件通報應變機制,以確保資安事件妥善回應、控制及處理。
4.定期宣導資訊安全政策及相關規定,並落實員工資通安全教育訓練。
5.定期執行資通安全稽核作業,以確保資通安全管理落實執行。
|
【資通安全具體管理方案】
1.「資通安全政策」、「資通安全作業程序」符合「上市上櫃公司資通安全管控指引」。
2.明定資安組織權責及分工。資訊處長為資安專責主管,並指派資安專責人員。
3.加入資安情資分享組織。建立資安事件的內外通報窗口與聯繫方式及應變處置SOP。
4.每月對員工進行資安宣導,以提昇同仁資安意識,112年共12次。每周進行集團內部資通管理與安全會議,112年共48次。
5.稽核室及會計師每年會進行資訊作業查核,並進行改善措施。
|
【投入資通安全管理之資源】
1.人力資源:資訊處長為資安專責主管,並已指派適當人員擔任資安專責人員。
資訊處同仁管理資通系統,擔負資安管理權責。公司資安管理及維護相關人力共16人。
2.系統資源:已建立多層次之網路安全縱深防禦,包括網路、閘道、伺服器、系統、應用軟體、終端、周邊設備等,已投入之相關資源如下:
高可用性基礎架構:重要資通基礎建設皆採無單點系統故障設計與建置。
新世代入侵防禦系統(IPS):結合雲端數據更新防禦策略,阻絕網路攻擊並避免成為跳板。
新世代防火牆:依工作特性建立物理或邏輯區隔與安全策略,研發中心獨立控管。
資料傳遞管控與紀錄:資料傳出公司或下載至周邊設備,都被管制並留下紀錄。
定期弱點掃描:委託第三方資安公司進行外部弱點偵測並修補改善弱點或做因應處理。
定期更新修補:進行系統更新、程式與安全漏洞修補,避免病毒、惡意軟體及駭客利用。
完整系統備份:公司內系統、應用服務與資料都有完整保護與備份。
定期災後復原演練:定期排程進行災後復原演練並檢討改善缺失及還原時間。
系統權限管控:權限申請與變更都有管制與紀錄,密碼每半年更新。權限每半年盤點。
網路通訊:集團內公司間通聯採用專線或是有經過VPN加密的公眾網路。
行動裝置安全:個人出差或居家辦公等遠端連線公司服務,需經雙因素認證及加密通道。
端點設備防毒防駭:終端設備集中管理,病毒碼更新、行為監控。
郵件安全:垃圾信與惡意程式過濾。
資產與系統管理:用戶端軟硬體資產異動管理、非法軟體稽核。
|
|
|